Nesta página, você encontra informações sobre práticas recomendadas para criar e executar imagens de contêiner.
Como criar contêineres
A abordagem adotada para criar imagens de contêiner pode afetar a velocidade de builds e implantações, bem como o esforço necessário para manter as imagens.
Conheça as práticas recomendadas para criar contêineres mais fáceis de criar e executar.
Você também pode ler as práticas recomendadas do Docker para criar imagens.
Como operar contêineres
Conheça as práticas recomendadas para operar contêineres. Essas práticas incluem recomendações para segurança, monitoramento e geração de registros que facilitam a execução de aplicativos no Google Kubernetes Engine e em contêineres em geral.
Considerações para registros públicos
Considere cuidadosamente os seguintes casos:
- Usar imagens de fontes públicas
Ao usar imagens de fontes públicas, como o Docker Hub, você está introduzindo um código que sua organização não controla na cadeia de suprimentos de software. Para mitigar o risco, você pode:
- Crie suas próprias imagens para controlar o conteúdo delas.
- Use uma imagem de base padronizada e crie com base nela.
- Verifique imagens em busca de vulnerabilidades e resolva as vulnerabilidades identificadas.
- Aplique padrões e políticas nas imagens que você implantar.
- Como tornar seus registros públicos
É possível tornar público o registro no projeto do Google Cloud concedendo acesso de leitura à identidade
allUsers
no bucket de armazenamento do registro.Se todos os seus usuários tiverem contas do Google Cloud, você poderá limitar o acesso a usuários autenticados com a identidade
allAuthenticatedUsers
.Considere as seguintes diretrizes antes de tornar um registro público:
- Verifique se todas as imagens armazenadas no registro são compartilháveis publicamente e não expõem credenciais, dados pessoais ou dados confidenciais.
- É feita uma cobrança pela saída de rede quando os usuários extraem imagens. Se você espera muito tráfego de download da Internet, considere os custos associados.
- Por padrão, os projetos têm cota ilimitada por usuário. Para evitar abusos, limite a cota por usuário no seu projeto.
Como remover imagens não usadas
Remova imagens de contêiner não utilizadas para reduzir custos de armazenamento e diminuir os riscos de usar software mais antigo. Há várias ferramentas disponíveis para ajudar nessa tarefa, incluindo a gcr-cleaner. A ferramenta de limpeza do gcr não é um produto oficial do Google.
Como avaliar a segurança do contêiner
O Center for Internet Security (CIS) tem um comparativo de mercado do Docker para avaliar a segurança de um contêiner do Docker.
O Docker fornece um script de código aberto chamado Docker Bench for Security. Você pode usar o script para validar um contêiner do Docker em execução no comparativo de mercado do CIS do Docker.
O Docker Bench For Security pode ajudar você a verificar muitos itens no comparativo de mercado do CIS do Docker, mas nem todos os itens são verificáveis com o script. Por exemplo, o script não pode verificar se o host do contêiner está mais protegido ou se a imagem do contêiner inclui dados pessoais. Analise todos os itens no comparativo de mercado e identifique aqueles que podem precisar de verificação adicional.
Como proteger implantações
Aprenda a criar uma cadeia de suprimentos de software segura e a usar a verificação de vulnerabilidades e a autorização binária no Google Cloud para definir e aplicar políticas de implantação.
Você também pode assistir um vídeo que descreve como proteger sua cadeia de suprimentos de software.